CN107925567A - 用于使用由证书状态检查服务提供商发布的票证来优化对称密钥高速缓存的系统、装置和方法 - Google Patents
用于使用由证书状态检查服务提供商发布的票证来优化对称密钥高速缓存的系统、装置和方法 Download PDFInfo
- Publication number
- CN107925567A CN107925567A CN201680044447.6A CN201680044447A CN107925567A CN 107925567 A CN107925567 A CN 107925567A CN 201680044447 A CN201680044447 A CN 201680044447A CN 107925567 A CN107925567 A CN 107925567A
- Authority
- CN
- China
- Prior art keywords
- key
- equipment
- ticket
- computing device
- iot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Abstract
在一个实施例中,一种方法包括:当第一计算设备不具有至凭证管理器的连接时,在所述第一计算设备与第二计算设备之间建立第一会话;代表所述第一计算设备代理从所述第二计算设备到所述凭证管理器的请求,并且在所述第二计算设备中接收加密到所述第一设备的第一无密钥票证和加密到所述第二设备的第二无密钥票证;将所述第二无密钥票证从所述第二计算设备提供至所述第一计算设备;以及根据所述第一无密钥票证和所述第二无密钥票证使能在所述第一计算设备与所述第二计算设备之间进行通信。描述并要求保护了其他实施例。
Description
背景技术
某些类型的非对称密钥证书验证操作取决于支持服务,所述支持服务分发证书撤销列表(CRL)或在线证书状态协议(OCSP)以便向验证者提供证书撤销状态,否则,验证者不能判定证书是否已经被撤销。由于许多IoT设备的受限环境,证书与物联网(IoT)设备一起使用面临额外的挑战。如果CRL较大,则可能没有足够的存储资源来存储CRL。因此,验证设备无法完成路径验证,从而导致IoT应用无法运行。如果相反,IoT设备依赖于OCS检查,则验证设备需要打开至发布证书授权机构(CA)的连接。然而,在请求设备和服务设备处于受限联网环境中(例如,间歇地连接到外部网络)的某些情况下,可能不存在网络访问。
附图说明
图1是根据本发明的实施例的第一连接情景。
图2是根据本发明的实施例的第二连接尝试的情景。
图3是根据本发明的实施例的第三连接尝试的情景。
图4是可以与实施例一起使用的示例系统的框图。
图5是根据本发明的另一实施例的系统的框图。
图6是根据另一实施例的可穿戴模块的框图。
具体实施方式
在各种实施例中,受限设备(诸如,使用证书进行设备认证的IoT设备)可以在间歇性网络连接性之间的时间段上有意义地建立对称密钥凭证。
为此,实施例可以对历史上保持分离的两种形式的密钥管理进行组合。公钥基础设施(PKI)(互联网工程任务组)(IETF)征求意见(RFC)5280)是一种旨在基于非对称密钥来管理身份的密钥管理方法。Kerberos[RFC 1510]是一种旨在使用对称密钥来管理访问的密钥管理方法。实施例可以对这两种密钥管理方法的各方面进行组合以便如本文中所描述的那样执行认证。预期的是,CRL可能至少最终变得太大而不能存储在IoT设备上,并且因此,验证设备可以采用OCSP。然而,受限设备也可能不能够发起至主控CA的外部网络的连接,并且对于CA定期地轮询许多IoT设备以便判定其是否恰好要求CA服务来说可能是不切实际的。
为此,实施例将CA的功能与密钥分发中心(KDC)的功能组合。对于由请求设备对访问响应设备的第一尝试,实现了网络访问从而完成证书验证。如果响应设备不具有至主控CA的远程网络的网络连接性,则请求设备用于代理OCSP请求。
除了获得OCSP状态信息,请求设备还获得具有给定(例如,较短)持续时间失效的对称密钥票证。通常,KDC将包括其在票证中所生成的对称密钥。因此,KDC、请求方和响应方全部共享所述对称密钥。除非所有三者都具有等效的密钥保护功能强度特性,否则这三者之一将是密钥的潜在危害的薄弱环节。实施例可以通过以下方式来降低这种威胁:从票证中省略所述对称密钥,反而使用由经签名的迪菲-赫尔曼(Diffie-Hellman)交换所产生的暂时性对称密钥。然而,票证通常提供的其他上下文(例如,失效、领域(realm)、认证等)被提供有用于在所述票证中标识的持续时间上保持暂时性对称密钥的指令。
实施例使得请求设备和响应设备能够在第一基于证书的认证之后在由KDC认为可接受的时段上继续使用对称密码技术来进行安全交互,而不使用非对称密码技术和证书。在实施例中,此时段可与主控KDC/CA的网络的间歇可用性的间隔相关。这种安排不同于密钥高速缓存解决方案(诸如TLS重连会话高速缓存,其中,由一个或另一个TLS端点确定的全局高速缓存策略被指定包含在票证中的每个密钥有效性和附加上下文和认证的KDC所取代。不同于传统的KDC票证,KDC并不知道对称密钥,并且因此不需要利用远超过参与设备的功能强度的功能强度来加固KDC。如此,由在IoT网络中的传统设备(诸如,网关、更大的电器或平板设备)来主控KDC功能是更为可行的。
给定了IoT设备可以从KDC中获得对称密钥票证但是连接性间歇地丢失的情景,所述设备可以使用其证书使用传统的基于证书的会话建立方法(例如,TLS或DTLS)来建立到另一设备的连接。在实施例中,如果证书验证步骤无法被解析到可信根,则停止密钥交换,以撤销状态检查来完成。实施例允许在撤销状态检查未完成的情况下完成握手,从而使得可以在会话密钥高速缓存中针对每个设备建立对称会话密钥。然而,没有应用数据得到交换,直到检查到撤销状态。响应方设备(设备B)打开至凭证管理器(KDC/CA)的连接以便获得证书状态并且制定专门的票证请求,从而预期与设备A的后续交互,并且希望优化会话建立。
现在参照图1,所示出的是根据本发明的实施例的第一连接情景,在所述第一连接情景中,因为不存在到凭证管理器(CM)的用于获得对称密钥票证的连接,所以设备使用非对称密钥进行认证。注意,设备B可以使用其证书或长期对称密钥来认证到KDC/CA。设备B标识原始请求方(设备A),所述设备B已经与所述原始请求方建立了会话并且请求了无密钥票证。凭证管理器(CM)然后发布也包括证书状态的无密钥票证消息。无密钥票证包括与适合于设备A和设备B的交互的交互约束相关的附加上下文,诸如领域、域、组或区从属关系、角色分配、有效期和访问限制以及所授予权限。所述票证还可以附加地描述在使用时要进行管理的安全实践,例如,在解密时,可以针对恶意软件或其他异常对密文的内容进行扫描。所述票证可以用于在有效期内的设备之间的后续交互,而不是仅用于建立安全的(加密的)通信,但是也可以指定接收方应当如何应用附加的安全扫描和过滤动作。
设备B接收回执,所述回执包含加密到设备A的无密钥票证和加密到设备B的无密钥票证。如本文所使用的,将票证加密到设备是指所述票证是基于在给定设备与凭证管理器(诸如,密钥分发中心)之间的一个或多个之前的交互进行加密。注意,在证书管理服务(CMS)与给定设备(例如,设备A和/或设备B)之间的这种之前的交互可以包括证书和信任锚的供应,从而使得可以使用证书来协商安全会话以便对密钥交换进行认证。之前的交互可以进一步构成对提供给秘密认证密钥交换(PAKE)协议(诸如,根据IETF RFC 6628)的共享秘密所进行的交换。之前的交互可以进一步包括使用由制造商嵌入的非对称密钥(诸如具有制造商提供的证书的增强隐私ID(EPID))来在证书管理服务与设备(诸如,Sigma和/或Sigma CE协商信道)之间建立安全信道。
同样地,可以对所述票证进行完整性保护。CMS可以在非对称密钥或对称密钥之间选择以便基于对CMS可用的长期凭证来保护所述票证。设备B在所建立的TLS信道上或者可能经由带外信道(如果可用的话)将所述票证转发给设备A。注意,可以在除了安全信道之外的由尚未提升的会话密钥产生的不安全信道上在设备A与设备B之间交换无密钥票证。这种交换是可能的,因为KDC使用其在每个设备之间维护的长期密钥来保护所述票证。设备B使用证书状态来完成对初始会话建立的证书验证,并且应用可选地包含在无密钥票证中的认证约束。在会话高速缓存中找到的会话密钥被提取并且提升为票证密钥,并且被置于密钥数据库中,在所述密钥数据库中,强制执行票证失效。响应于接收到无密钥票证,设备A执行类似的密钥提升。
因此,如图1中所示出的,第一连接尝试101可能发生在网络100中。在实施例中,网络100可以是经连接设备(包括可以在IoT网络内通信的多个IoT设备120和130)的网络。注意,在某些情况下,IoT设备120和130可以是受限设备。在任何情况下,这类IoT设备可以包括至少最小的计算能力。如此,IoT 120和130设备可以包括一个或多个处理器(诸如SoC或其他处理逻辑)、一个或多个非暂态存储器和/或存储设备以及潜在地其他部件(诸如致动器、传感器、网络接口等等)。在至少一些实施例中,给定的处理器或SoC(或其一部分)可以包括单独的安全电路系统(或者可以被配置用于在安全模式中进行操作)。这种安全模式提供了用于设备的可信执行环境(TEE)。在示例实施例中,设备的TEE可以利用软件防护扩展(SGX)、MemCore、融合式安全引擎(CSE)、虚拟化技术(VT-X)、具有Smack的IOT-OS、ARM TrustZone、以及其他安全环境。
仍然参照图1,可以经由另一网络105(例如,经由互联网)发生与凭证管理器110的通信。在实施例中,凭证管理器110可以是一个或多个计算设备,诸如,还可以充当CA的KDC的一个或多个服务器系统。如所展示的,假定设备120失去了至凭证管理器110的连接性,但仍然想要与设备130安全地通信。为此,设备可以建立与证书的会话。如所看到的,设备120可以传达与此会话建立有关的公钥126。在实施例中,密钥126可以是非对称密钥。进而,响应于此请求,设备130传达针对设备120的证书状态请求,并且进一步请求从凭证管理器110中生成无密钥票证。因此,如所看到的,设备130从凭证管理器110接收证书状态和多个票证。更具体地,设备130接收第一无密钥票证140(加密到设备120)和第二无密钥票证145(加密到设备130)。
假定,证书状态指示设备120的证书仍然有效,并且响应于接收到无密钥票证,设备130可以将暂时性密钥(诸如,在设备之间的会话建立期间所产生的会话密钥)从会话密钥高速缓存132(其可以是在设备130内或耦合至所述设备的高速缓存存储器)提升到对称密钥数据库134。在不同的实施例中,对称密钥数据库134可以存在于设备130内或耦合至所述设备。这种提升使得至少在给定的持续时间(如在从凭证管理器110中所接收的无密钥票证中所标识的)上会话密钥将被提升用作对称密钥。
如图1中所进一步展示的,假定证书状态有效,设备130还可以将无密钥票证145供应至设备120。进而,响应于接收到此票证,设备120可以将暂时性密钥(例如,会话密钥)从会话密钥高速缓存122(其可以被包括在或耦合至设备120)提升到对称密钥数据库124(包括或耦合至设备120)。如此,此经提升的会话密钥可以在指定的持续时间上用作对称密钥。注意,图1描述了双边的票证供应情景。同样地,首先可能发生单向情景,并且然后发生流的方向性。也就是说,可以利用IoT设备130与凭证管理器110之间的连接来获得与设备A到设备B方向和设备B到设备A方向相对应的两个票证。
注意,在设备120中接收到无密钥票证145是用于指示设备120将存储在会话密钥高速缓存122中的暂时性密钥提升为存储在对称密钥数据库124中的长期密钥的触发器。如此,无密钥票证145可以存储在与经提升的对称密钥相关联的数据库124中。这些项使得设备120稍后能够发起到设备130的连接。
在图1中所示出的协议结束时,对称密钥数据库124因此在与设备130相关联的条目中存储:密钥标识符,KeyID-Kab;经提升的密钥,Kab(经提升);以及加密到第二设备130的密钥票证,{KeyID-Kab}Kb。类似地,对称密钥数据库134在与设备120相关联的条目中存储:密钥标识符,KeyID-Kab;经提升的密钥,Kab(经提升);以及加密到第一设备120的无密钥票证,{KeyID-Kab}Ka。还要注意,无密钥票证可以包括附加许可、访问控制、领域上下文和用于对通过端点应用的解密密文执行安全性的指令。
进一步注意,虽然在图1中没有示出,这些设备可以从凭证管理器110中接收回执,所述回执分别被使用长期密钥Ka和Kb而加密到每个设备,其允许使用密钥标识符KeyID-Kab来引用使用Kab的策略,其中,在通信之前可以在加密明文之前应用安全功能,诸如,隐私防护过滤。但是假定已经在凭证管理器110与设备130之间安全地交换无密钥票证,这种受到类似保护的单独回执可以是可选的。虽然如此,如果凭证管理器110想要向设备120传达规定所述设备应当在将明文发送至设备130之前对明文采取的动作的指令,加密到设备120的回执可以被并入由凭证管理器110提供的无密钥票证中。
因此,一旦发布了第一无密钥票证,基于对第一票证的利用的第二无密钥票证可以用来继续进行设备间通信而设备无需使用其非对称密钥或者执行证书撤销列表(CRL)检查。然而,在一些实施例中,凭证管理器110可以在第二票证发布时执行CRL检查以便通知无密钥票证发布。
注意,可以假定当每个设备被装载到由凭证管理器110管理的领域中时,其证明了密钥存储设备和设备的可信执行环境(TEE)的强化级别,从而使得凭证管理器可以确定在需要使用非对称密钥和证书之前可以发布多少次无密钥票证迭代。但是注意,可以在无密钥票证中应用此认证,而不是在会话建立期间。因此,IoT设备可以不执行任何公钥基础设施(PKI)撤销处理,并且凭证管理器110可能永远都不知道在对称密钥数据库124和134中所保持的对称密钥。
现在参照图2,所示出的是根据本发明的实施例的第二连接尝试的情景,其中,这两个设备都丢失了至凭证管理器的连接性。信道可能关闭,并且使用暂时性密钥的存档副本(从会话高速缓存中获得的)来建立第二会话。使用票证来认证此对话,仅直到票证失效。在票证失效之后,可以重复上述步骤。此外,如果经提升的密钥Kab作为预共享密钥(PSK)被提供至密钥交换协议(诸如,TLS密码套件),则创建了新的对称密钥。可以采用如图1中所描述的类似方式来发布第二轮票证,导致无密钥票证到密钥的永久重发布,所述密钥遵循KDC中间控制,而无需设备A和B永远执行非对称加密操作或使用PKI验证操作。注意,KDC可能在重发布无密钥票证时拦截PKI CRL和/或执行OCSP请求,以便从任何IoT设备中将其卸载。如果连接性允许,则可以主动地评估证书状态并且发布传统票证。如果情景表明设备A是具有至CM的连接性的设备,则设备A发起票证请求,并且将票证递送至设备B。
因此,如图2中所示出的,在第二连接尝试201中,可以假定这两个设备都失去至凭证管理器120的连接性。在所示出的图示中,设备120经由之前发布的票证145建立与设备130的会话。进而,设备130可以验证票证是有效的(例如,通过判定是否尚未到达票证失效)。假定票证已被验证,则可以继续设备之间的会话。
现在参照图3,所示出的是根据本发明的实施例的第三连接尝试的情景,在所述情景中,设备B发起并且设备A响应,并且在所述情景,丢失了至凭证管理器的连接性。可选地,第三连接尝试可以涉及设备B发起到设备A的连接。因为设备B拥有设备A的无密钥票证,其使用所述票证来建立会话。设备A验证所述票证以及由所述票证标识的对称密钥确实是由设备B建立会话所使用的密钥。图3示出了当这两个设备都丢失了至凭证管理器120的连接性时的第三连接尝试301的类似情景,并且在所述情景中是设备130使用票证140建立了会话。
实施例使得IoT设备能够通过获得授权使用会话密钥进行不涉及CM的后续连接的无密钥票证来主动地避免到CM的不必要的网络访问。由于需要访问用于KDC/CA服务的凭证管理器,所以设备可以这样做以避免周期性更长延迟的不期望行为。在之前的票证失效之前,存在围绕重发布所述票证的安全考虑,其中,KDC依赖于端点设备来重新协商暂时性密钥。为了不发生此重新协商,双方可以串通以避免密钥更新。这是换取对称密钥的副本不拥有KDC的利益的可接受风险。
因此,实施例不同于可以维护会话密钥高速缓存来促进会话重连的当前实践。会话密钥高速缓存应用均匀地标记高速缓存内容过时的高速缓存策略,导致与CM策略不一致的密钥失效。同样通过将会话密钥提升到票证密钥,此密钥可以用于进行替代形式的加密,包括文件/文件夹加密、数字权限管理/企业权限管理(DRM/ERM)和不同的会话级传输。这种灵活性允许IoT设备在最适当并且可用的传输上进行交互,而不受主控会话密钥高速缓存的传输的限制。
这种灵活性允许IoT设备在最适当并且可用的传输上进行交互——而不受主控会话密钥高速缓存的传输的限制。本发明的进一步实施例包括使用第二CM来将证书状态信息提供至设备,所述设备可以依赖于来自第一CM的非对称凭证并且因此在第一CM上获得证书状态。所述设备可以使用第二CM的信任锚,其中,根CA信任锚未失效。本发明的进一步实施例可以使用随机数发生器硬件(诸如数字随机数发生器(DRNG)硬件)来提供强随机数,从而使得当生成对称密钥时不需要CM熵源。本发明的进一步实施例可以使用TLS keyID参数来将标识值从第一设备传达至第二设备,从而标识在会话高速缓存中的缓存对称密钥,其向第二设备指示获得无密钥票证的意图。注意,此参数无需源自TLS系统。其使用也不限制使用会话密钥数据库用来对会话密钥高速缓存内容进行关联的一些其他KeyID机制。keyID可以被包括在后续发布的(多个)无密钥票证中。本发明的进一步实施例使用TLS事件消息来传达对可能接近失效的已有无密钥票证进行密钥更新的意图,并且其中,所述密钥更新可以进一步涉及重新交换迪菲-赫尔曼参数以及使用伪随机函数(PRF)来进行对预共享密钥的计算,所述预共享密钥包括来自迪菲-赫尔曼交换的主秘密以及同样在无密钥票证中的上下文值。
进一步的实施例可以通过受限设备使用长期密钥来建立到KDC或具有可靠时钟的其他较不受限设备的安全会话,其中,在规则间隔时,受限设备从较不受限设备中获得时间值,并且其中,时间值可用于评估具有失效的凭证。
因此,实施例使用凭证管理器来发布无密钥票证,所述无密钥票证授权使用来自用于进行独立的后续会话建立的已建立会话高速缓存的对称密钥。实施例可以进一步使用无密钥票证来指定交互约束并且在已经使用证书建立了安全会话的IoT设备之间进行访问。证书状态请求消息可以由CM用于标识由第一设备认证的第二设备,其中,将无密钥票证授予第二设备。可以发生会话密钥到票证密钥的提升,其中,票证密钥有效期和保护特性与所述会话密钥高速缓存的不同。另外,可以使用生成与第一个不同的密钥值的PRF来将会话密钥提升到票证密钥。
现在参照图4,示出的是可以与实施例一起使用的示例系统的框图。如所看到的,系统900可以是智能手机或其他无线通信器或任何其他IoT设备。基带处理器905被配置用于对待从系统发射或由系统接收的通信信号执行各种信号处理。进而,基带处理器905耦合至应用处理器910,所述应用处理器可以是所述系统的用于执行OS和(除了诸如许多熟知的社交媒体和多媒体app等用户应用之外)其他系统软件的主CPU。应用处理器910可以进一步被配置用于对设备执行各种其他计算操作。
进而,应用处理器910可以耦合至用户界面/显示器920,例如,触摸屏显示器。另外,应用处理器910可耦合至存储器系统,所述存储器系统包括非易失性存储器(即闪存存储器930)和系统存储器(即DRAM 935)。在一些实施例中,闪存930可以包括安全部分932,秘密和其他敏感信息可以存储在所述安全部分中。如进一步看到的,应用处理器910还耦合至采集设备945,比如可以记录视频和/或静止图像的一个或多个图像采集设备。
仍参照图4,通用集成电路卡(UICC)940包括订阅者身份模块,所述订阅者身份模块在一些实施例中包括用于存储安全用户信息的安全存储装置942。系统900可以进一步包括安全处理器950,所述安全处理器可以实现TEE,并且其可以耦合至应用处理器910。此外,应用处理器910可以对给定的指令集架构和用于主控TEE的电路系统实现安全操作模式(诸如,SGX)。包括一个或多个多轴加速度计的多个传感器925可以耦合至应用处理器910从而使能输入各种感测到的信息,诸如运动和其他环境信息。另外,可以使用一个或多个认证设备995来接收例如用于认证操作的用户生物特征输入。
如进一步展示的,近场通信(NFC)非接触式接口960被设置为通过NFC天线965在NFC近场中通信。虽然图4中示出了单独的天线,应理解的是,在某些实现方式中,可以提供一个天线或不同天线集合从而使能各种无线功能。
功率管理集成电路(PMIC)915耦合至应用处理器910从而执行平台级功率管理。为此,PMIC 915可以向应用处理器910下发功率管理请求从而按照期望进入一定的低功率状态。而且,基于平台限制,PMIC 915还可以控制系统900的其他组件的功率水平。
为了能够诸如在一个或多个IoT网络中发射和接收通信,各种电路系统可耦合于基带处理器905与天线990之间。具体地,可存在射频(RF)收发器970和无线局域网(WLAN)收发器975。通常,RF收发器970可用于根据诸如3G或4G无线通信协议(诸如根据码分多址(CDMA)、全球移动通信系统(GSM)、长期演进(LTE)或其他协议)等给定无线通信协议来接收和发射无线数据和呼叫。另外,可以存在GPS传感器980,其中,当上下文信息将在配对过程中使用时,位置信息被提供给安全处理器950以供使用,如本文所描述的。还可提供如无线电信号(例如,AM/FM以及其他信号)的接收或发射的其他无线通信。另外,经由WLAN收发器975,还可以实现诸如根据蓝牙TM或IEEE 802.11标准的本地无线通信。
现在参照图5,示出了根据本发明的另一实施例的系统的框图。如图5所示,多处理器系统1000是点对点互连系统(诸如,服务器系统),并且包括经由点对点互连1050耦合的第一处理器1070和第二处理器1080。如图5所示,处理器1070和1080中的每一个处理器可以是包括第一和第二处理器核(即,处理器核1074a和1074b以及处理器核1084a和1084b)的多核处理器(诸如SoC),尽管所述处理器中可能潜在地存在更多的核。另外,处理器1070和1080各自可以包括安全引擎1075和1085以便执行安全操作,诸如密钥管理、证明、IoT网络登载等等。
仍参照图5,第一处理器1070进一步包括存储器控制器中枢(MCH)1072和点对点(P-P)接口1076和1078。类似地,第二处理器1080包括MCH 1082和P-P接口1086和1088。如图5所示,MCH 1072和1082将处理器耦合至对应的存储器(即存储器1032和存储器1034),所述存储器可以是本地附接至相应处理器的主存储器(例如,DRAM)的部分。第一处理器1070和第二处理器1080可以分别经由P-P互连1052和1054耦合至芯片组1090。如图5所示,芯片组1090包括P-P接口1094和1098。
此外,芯片组1090包括接口1092,以便通过P-P互连1039将芯片组1090与高性能图形引擎1038耦合。进而,芯片组1090可以经由接口1096耦合至第一总线1016。如图5所示,各个输入/输出(I/O)设备1014可以与总线桥接器1018一起耦合至第一总线1016,所述总线桥接器将第一总线1016耦合至第二总线1020。各种设备可以耦合至第二总线1020,包括例如,键盘/鼠标1022、通信设备1026和数据存储单元1028(诸如非易失性存储设备或其他大容量存储设备)。如所看到的,在一个实施例中,数据存储单元1028可以包括代码1030。如进一步所看到的,数据存储单元1028还包括可信存储设备1029以便存储将要保护的敏感信息。此外,音频I/O 1024可以耦合到第二总线1020。
实施例可以在IoT设备可以包括可穿戴设备或其他小形状因子IoT设备的环境中使用。现在参照图6,所示出的是根据另一实施例的可穿戴模块1300的框图。在一个具体的实现方式中,模块1300可以是CurieTM模块,包括被适配在可以作为可穿戴设备的全部或一部分实施的单个小型模块内的多个部件。如所看到的,模块1300包括核1310(当然,在其他实施例中可以存在多于一个核)。这种核可以是相对较低复杂度的有序核,诸如基于Intel QuarkTM设计的。在一些实施例中,核1310可以实现TEE,如本文所描述的。核1310耦合至包括传感器中枢1320的各种部件,所述传感器中枢可以被配置用于与多个传感器1380交互,诸如一个或多个生物特征、运动环境、或其他传感器。存在与非易失性存储设备1340一起的功率输送电路1330。在实施例中,此电路可以包括可充电电池和再充电电路,在一个实施例中,所述电路可以无线地接收充电功率。可以存在一个或多个输入/输出(IO)接口1350,诸如,可与USB/SPI/I2C/GPIO协议中的一个或多个协议兼容的一个或多个接口。另外,存在无线收发器1390(其可以是BluetoothTM低能量或其他小范围无线收发器)以便使能进行无线通信,如本文所描述的。应当理解,在不同的实现方式中,可穿戴模块可以采用许多其他的形式。
以下示例涉及进一步的实施例。
在示例1中,一种方法包括:当第一计算设备不具有至凭证管理器的连接性时,在所述第一计算设备与第二计算设备之间建立第一会话;代表所述第一计算设备代理来自所述第二计算设备的向所述凭证管理器的请求,并且在所述第二计算设备中接收加密到所述第一计算设备的第一无密钥票证和加密到所述第二计算设备的第二无密钥票证;将所述第二无密钥票证从所述第二计算设备提供至所述第一计算设备;以及根据所述第一无密钥票证和所述第二无密钥票证使能在所述第一计算设备与所述第二计算设备之间进行通信。
在示例2中,所述方法进一步包括:使用对称密码技术在所述第一计算设备与所述第二计算设备之间进行通信。
在示例3中,所述第一无密钥票证包括证书状态和关于在所述第一计算设备与所述第二计算设备之间的交互的上下文信息。
在示例4中,所述方法进一步包括:访问与所述第一会话相关联的第一会话密钥并将所述第一会话密钥提升为票证密钥,并且将所述票证密钥存储在所述第二计算设备的密钥数据库中。
在示例5中,如以上示例中一项或多项所述的方法进一步包括:在所述票证密钥失效之前使能在所述第一计算设备与所述第二计算设备之间进行所述通信。
在示例6中,如以上示例中一项或多项所述的方法进一步包括:在所述第一无密钥票证失效之前,至少部分地基于所述第一无密钥票证而在所述第一计算设备与所述第二计算设备之间建立第二会话。
在示例7中,所述第二无密钥票证用于经由不安全信道从所述第二计算设备提供至所述第一计算设备,所述第二无密钥票证受到由所述凭证管理器维护的长期密钥的保护。
在另一示例中,一种包括指令的计算机可读介质用于执行以上示例中任一项所述的方法。
在另一示例中,一种包括数据的计算机可读介质有待由至少一台机器用来制造用于执行以上示例中任一项所述的方法的至少一个集成电路。
在另一示例中,一种设备,包括用于执行以上示例中任一项所述的方法的装置。
在示例8中,一种设备包括:至少一个硬件处理器,用于执行指令;至少一个网络接口,用于使能与在IoT网络中与所述设备相耦合的一个或多个设备进行通信,所述至少一个网络接口进一步使能经由第二网络与耦合至所述设备的证书授权机构进行通信;以及存储设备。所述存储设备可以存储指令,所述指令当由所述设备执行时使所述设备:经由所述IoT网络执行与耦合至所述设备的第一设备的交换以便生成暂时性密钥;接收表明所述第一设备不具有对所述证书授权机构的网络访问权的指示;经由所述第二网络访问所述证书授权机构以便获得所述第一设备的第一基于证书的认证,所述第一基于证书的认证持续第一时间段,其中,所述第一基于证书的认证不包括密钥;并且使用所述暂时性密钥与所述第一设备交互达所述第一时间段。
在示例9中,所述第一时间段包括至所述第二网络的间歇性连接性的间隔。
在示例10中,所述暂时性密钥不用于与所述证书授权机构共享。
在示例11中,所述设备进一步包括会话密钥高速缓存,其中,所述设备用于将所述暂时性密钥存储在所述会话密钥高速缓存中。
示例12中,所述设备用于利用所述证书授权机构来检查关于所述第一设备的证书状态。
在示例13中,如上述示例中一项或多项所述的设备进一步包括密钥数据库。响应于由所述证书授权机构对所述第一设备的所述证书状态进行的验证,所述设备用于将所述暂时性密钥提升为票证密钥,并且将所述票证密钥存储在所述密钥数据库中,其中,所述票证密钥将处于有效达所述第一时间段。
在示例14中,如上述示例中一项或多项所述的设备用于使用所述票证密钥来执行数字权限管理操作。
在示例15中,如上述示例中一项或多项所述的设备用于从耦合至所述设备的另一设备中获得时间值,并且基于所述时间值判定所述第一时间段是否已经到期。
在示例16中,所述第一基于证书的认证用于授权将所述暂时性密钥用于所述设备与所述第一设备之间的通信而无需访问所述证书授权机构。
在示例17中,在所述第一时间段到期之后,所述设备用于防止与所述第一设备进行安全通信。
在示例18中,所述基于证书的认证包括加密到所述设备的第一无密钥票证和加密到所述第一设备的第二无密钥票证。
在示例19中,一种系统包括:第一IoT设备,所述第一IoT设备包括至少一个硬件处理器并且与第一会话密钥高速缓存和第一密钥数据库相关联;以及第二IoT设备,所述第二IoT设备耦合至所述第一IoT设备,所述第二IoT设备包括至少一个硬件处理器并且与第二会话密钥高速缓存和第二密钥数据库相关联。所述第二IoT设备可以被配置用于:当所述第一IoT设备不具有至凭证管理器的连接性时,建立与所述第一IoT设备的第一会话;从所述凭证管理器处接收加密到所述第一设备的第一无密钥票证和加密到所述第二设备的第二无密钥票证;将所述第二无密钥票证提供至所述第一IoT设备;并且根据所述第一无密钥票证和所述第二无密钥票证中的一项或多项而与所述第一IoT设备通信达第一时间段,对于所述第一时间段,所述第一无密钥票证和所述第二无密钥票证中的至少一项是有效的。
在示例20中,所述第一IoT设备用于响应于接收到所述第二无密钥票证而访问存储在所述第一会话密钥高速缓存中的与所述第一会话相关联的第一会话密钥,并且将所述第一会话密钥提升为第一票证密钥,并且将所述第一票证密钥存储在所述第一密钥数据库中。
在示例21中,所述第一IoT设备用于在所述第一时间段到期之前,使用所述第二无密钥票证和所述第一票证密钥在所述第一IoT设备和所述第二IoT设备之间建立第二会话。
在示例22中,所述第一IoT设备和所述第二IoT设备用于使用所述第一无密钥票证和所述第二无密钥票证中的一项或多项进行通信,而不使用非对称密钥并且不执行证书撤销检查。
在示例23中,所述第一无密钥票证包括对在使用非对称密钥和执行证书撤销检查发生之前将要发布的无密钥票证的数量的指示。
在示例24中,一种设备包括:至少一个硬件处理器装置,用于执行指令;至少一个网络接口装置,用于使能与在IoT网络中与所述设备相耦合的一个或多个设备进行通信,所述至少一个网络接口装置进一步用于使能经由第二网络与耦合至所述设备的证书授权机构进行通信;以及存储装置。所述存储装置可以存储指令,所述指令当由所述设备执行时使所述设备:经由所述IoT网络执行与耦合至所述设备的第一设备的交换以便生成暂时性密钥;接收表明所述第一设备不具有对所述证书授权机构的网络访问权的指示;经由所述第二网络访问所述证书授权机构以便获得所述第一设备的第一基于证书的认证,所述第一基于证书的认证持续第一时间段,其中,所述第一基于证书的认证不包括密钥;并且使用所述暂时性密钥与所述第一设备交互达所述第一时间段。
在示例25中,所述设备进一步包括:会话密钥高速缓存装置,用于存储所述暂时性密钥。
在示例26中,所述设备进一步包括:密钥数据库装置,所述密钥数据库装置用于存储票证密钥,其中,响应于由所述证书授权机构对所述第一设备的所述证书状态进行的验证,所述设备用于将所述暂时性密钥提升为将处于有效达所述第一时间段的票证密钥。
应理解的是,以上示例的各种组合是可能的。
实施例可以用于多种不同类型的系统中。例如,在一个实施例中,通信设备可以被安排成用于执行本文中所描述的各种方法和技术。当然,本发明的范围不限于通信装置,并且相反,其他实施例可以涉及用于处理指令的其他类型的装置,或者包括指令的一种或多种机器可读介质,所述指令响应于在计算装置上被执行而使所述装置执行本文中所描述的方法和技术中的一者或多者。
实施例可以在代码中实现并且可存储在非暂态存储介质上,所述非暂态存储介质具有存储在其上的指令,所述指令可用于对系统编程来执行指令。实施例还可以在数据中实现并且可存储在非暂态存储介质上,所述非暂态存储介质如果由至少一台机器执行则使所述至少一台机器制造用于执行一个或多个操作的至少一个集成电路。存储介质可以包括但不限于任何类型的磁盘,包括:软盘、光盘、固态驱动(SSD)、紧凑型光盘只读储存器(CD-ROM)、可擦写光盘(CD-RW)、和磁光盘、半导体器件(如只读存储器(ROM))、随机存取存储器(RAM)(如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM))、可擦可编程只读存储器(EPROM)、闪存存储器、电可擦可编程只读存储器(EEPROM)、磁卡或光卡、或者适合于存储电子指令的任何其他类型的介质。
虽然已经关于有限数量的实施例对本发明进行了描述,但是本领域技术人员将理解来自其中的许多修改和变体。旨在使得所附权利要求书覆盖所有此类落在本发明的真实精神和范围内的修改和变体。
Claims (25)
1.一种方法,包括:
当第一计算设备不具有至凭证管理器的连接性时,在所述第一计算设备与第二计算设备之间建立第一会话;
代表所述第一计算设备代理来自所述第二计算设备的向所述凭证管理器的请求,并且在所述第二计算设备中接收加密到所述第一计算设备的第一无密钥票证和加密到所述第二计算设备的第二无密钥票证;
将所述第二无密钥票证从所述第二计算设备提供至所述第一计算设备;以及
根据所述第一无密钥票证和所述第二无密钥票证使能在所述第一计算设备与所述第二计算设备之间进行通信。
2.如权利要求1所述的方法,进一步包括:使用对称密码技术在所述第一计算设备与所述第二计算设备之间进行通信。
3.如权利要求1所述的方法,其中,所述第一无密钥票证包括证书状态以及关于在所述第一计算设备与所述第二计算设备之间的交互的上下文信息。
4.如权利要求1所述的方法,进一步包括:访问与所述第一会话相关联的第一会话密钥并将所述第一会话密钥提升为票证密钥,并且将所述票证密钥存储在所述第二计算设备的密钥数据库中。
5.如权利要求4所述的方法,进一步包括:在所述票证密钥失效之前,使能在所述第一计算设备与所述第二计算设备之间进行所述通信。
6.如权利要求1所述的方法,进一步包括:在所述第一无密钥票证失效之前,至少部分地基于所述第一无密钥票证而在所述第一计算设备与所述第二计算设备之间建立第二会话。
7.如权利要求1所述的方法,其中,所述第二无密钥票证用于经由不安全信道从所述第二计算设备提供至所述第一计算设备,所述第二无密钥票证受到由所述凭证管理器维护的长期密钥的保护。
8.一种计算机可读存储介质,包括计算机可读指令,所述计算机可读指令当被执行时用于实现如权利要求1至7中任一项所述的方法。
9.一种设备,包括:
至少一个硬件处理器,用于执行指令;
至少一个网络接口,用于使能与在物联网(IoT)网络中与所述设备相耦合的一个或多个设备进行通信,所述至少一个网络接口进一步用于使能经由第二网络与耦合至所述设备的证书授权机构进行通信;
存储设备,用于存储指令,所述指令当由所述设备执行时使所述设备:
经由所述IoT网络执行与耦合至所述设备的第一设备的交换以便生成暂时性密钥;
接收表明所述第一设备不具有对所述证书授权机构的网络访问权的指示;
经由所述第二网络访问所述证书授权机构以便获得所述第一设备的第一基于证书的认证,所述第一基于证书的认证持续第一时间段,其中,所述第一基于证书的认证不包括密钥;以及
使用所述暂时性密钥与所述第一设备交互达所述第一时间段。
10.如权利要求9所述的设备,其中,所述第一时间段包括至所述第二网络的间歇性连接性的间隔。
11.如权利要求9所述的设备,其中,所述暂时性密钥不用于与所述证书授权机构共享。
12.如权利要求9所述的设备,进一步包括会话密钥高速缓存,其中,所述设备用于将所述暂时性密钥存储在所述会话密钥高速缓存中。
13.如权利要求12所述的设备,其中,所述设备用于利用所述证书授权机构来检查关于所述第一设备的证书状态。
14.如权利要求13所述的设备,进一步包括密钥数据库,其中,响应于由所述证书授权机构对所述第一设备的所述证书状态进行的验证,所述设备用于将所述暂时性密钥提升为票证密钥,并且将所述票证密钥存储在所述密钥数据库中,其中,所述票证密钥将处于有效达所述第一时间段。
15.如权利要求14所述的设备,其中,所述设备用于使用所述票证密钥来执行数字权限管理操作。
16.如权利要求14所述的设备,其中,所述设备用于从耦合至所述设备的另一设备中获得时间值,并且基于所述时间值判定所述第一时间段是否已经失效。
17.如权利要求9所述的设备,其中,所述第一基于证书的认证用于授权将所述暂时性密钥用于所述设备与所述第一设备之间的通信而无需访问所述证书授权机构。
18.如权利要求9所述的设备,其中,所述基于证书的认证包括加密到所述设备的第一无密钥票证和加密到所述第一设备的第二无密钥票证。
19.一种系统,包括:
第一物联网(IoT)设备,所述第一IoT设备包括至少一个硬件处理器并且与第一会话密钥高速缓存和第一密钥数据库相关联;以及
第二IoT设备,所述第二IoT设备耦合至所述第一IoT设备,所述第二IoT设备包括至少一个硬件处理器并且与第二会话密钥高速缓存和第二密钥数据库相关联,其中,所述第二IoT设备用于:当所述第一IoT设备不具有至凭证管理器的连接性时,建立与所述第一IoT设备的第一会话;从所述凭证管理器处接收加密到所述第一设备的第一无密钥票证以及加密到所述第二设备的第二无密钥票证;将所述第二无密钥票证提供至所述第一IoT设备;以及根据所述第一无密钥票证和所述第二无密钥票证中的一项或多项而与所述第一IoT设备通信达第一时间段,对于所述第一时间段,所述第一无密钥票证和所述第二无密钥票证中的至少一项是有效的。
20.如权利要求19所述的系统,其中,所述第一IoT设备用于:响应于接收到所述第二无密钥票证而访问存储在所述第一会话密钥高速缓存中的与所述第一会话相关联的第一会话密钥,并且将所述第一会话密钥提升为第一票证密钥,并且将所述第一票证密钥存储在所述第一密钥数据库中。
21.如权利要求20所述的系统,其中,所述第一IoT设备和所述第二IoT设备用于使用所述第一无密钥票证和所述第二无密钥票证中的一项或多项进行通信,而不使用非对称密钥并且不执行证书撤销检查。
22.如权利要求19所述的系统,其中,所述第一无密钥票证包括对在使用非对称密钥和执行证书撤销检查发生之前将要发布的无密钥票证的数量的指示。
23.一种设备,包括:
至少一个硬件处理器装置,用于执行指令;
至少一个网络接口装置,用于使能与在物联网(IoT)网络中与所述设备相耦合的一个或多个设备进行通信,所述至少一个网络接口装置进一步用于使能经由第二网络与耦合至所述设备的证书授权机构进行通信;
存储装置,用于存储指令,所述指令当由所述设备执行时使所述设备:
经由所述IoT网络执行与耦合至所述设备的第一设备的交换以便生成暂时性密钥;
接收表明所述第一设备不具有对所述证书授权机构的网络访问权的指示;
经由所述第二网络访问所述证书授权机构以便获得所述第一设备的第一基于证书的认证,所述第一基于证书的认证持续第一时间段,其中,所述第一基于证书的认证不包括密钥;并且
使用所述暂时性密钥与所述第一设备交互达所述第一时间段。
24.如权利要求23所述的设备,进一步包括:会话密钥高速缓存装置,用于存储所述暂时性密钥。
25.如权利要求24所述的设备,进一步包括密钥数据库装置,其中,响应于由所述证书授权机构对所述第一设备的所述证书状态进行的验证,所述设备用于将所述暂时性密钥提升为票证密钥,并且将所述票证密钥存储在所述密钥数据库装置中,其中,所述票证密钥将处于有效达所述第一时间段。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562199319P | 2015-07-31 | 2015-07-31 | |
US62/199,319 | 2015-07-31 | ||
US14/757,750 US9930121B2 (en) | 2015-07-31 | 2015-12-23 | System, apparatus and method for optimizing symmetric key cache using tickets issued by a certificate status check service provider |
US14/757,750 | 2015-12-23 | ||
PCT/US2016/037528 WO2017023425A1 (en) | 2015-07-31 | 2016-06-15 | System, apparatus and method for optimizing symmetric key cache using tickets issued by a certificate status check service provider |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107925567A true CN107925567A (zh) | 2018-04-17 |
CN107925567B CN107925567B (zh) | 2021-10-22 |
Family
ID=57883281
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680044447.6A Active CN107925567B (zh) | 2015-07-31 | 2016-06-15 | 使用票证来优化对称密钥高速缓存的系统、装置和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9930121B2 (zh) |
EP (1) | EP3329637B1 (zh) |
CN (1) | CN107925567B (zh) |
WO (1) | WO2017023425A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113490969A (zh) * | 2019-05-15 | 2021-10-08 | K·库拉科夫斯基 | 用于登记预给定区域中的用户的方法和实现该方法的系统 |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9749294B1 (en) * | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
US9923881B2 (en) | 2015-10-14 | 2018-03-20 | Mcafee, Llc | System, apparatus and method for migrating a device having a platform group |
US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
US10791446B2 (en) * | 2015-12-14 | 2020-09-29 | Afero, Inc. | System and method for an Internet of Things (IoT) gas pump or charging station implementation |
WO2017173145A1 (en) * | 2016-03-30 | 2017-10-05 | The Privacy Factor, LLC | Systems and methods for analyzing, assessing and controlling trust and authentication in applications and devices |
US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
US10630466B1 (en) * | 2016-11-03 | 2020-04-21 | Hologram, Inc. | Apparatus and method for exchanging cryptographic information with reduced overhead and latency |
US10455418B2 (en) | 2017-04-27 | 2019-10-22 | Afero, Inc. | Securely providing a password using an internet of things (IOT) system |
US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
US11294846B2 (en) | 2017-09-18 | 2022-04-05 | Intel Corporation | System, apparatus and method for secure communication on a bus |
US10587400B2 (en) * | 2018-02-12 | 2020-03-10 | Afero, Inc. | System and method for securely configuring a new device with network credentials |
US11314668B2 (en) | 2018-02-19 | 2022-04-26 | Intel Corporation | Method, apparatus and system for device transparent grouping of devices on a bus |
GB2574182A (en) * | 2018-03-26 | 2019-12-04 | Ssh Communications Security Oyj | Authentication in a computer network system |
WO2020082228A1 (en) * | 2018-10-23 | 2020-04-30 | Nokia Technologies Oy | Method and apparatus for attesting physical attacks |
EP3661244A1 (en) * | 2018-11-30 | 2020-06-03 | Nagravision SA | Key negotiation and provisioning for devices in a network |
EP3663956A1 (de) * | 2018-12-03 | 2020-06-10 | Steen Harbach AG | Mikrocontroller |
US10853289B2 (en) | 2018-12-17 | 2020-12-01 | Intel Corporation | System, apparatus and method for hardware-based bi-directional communication via reliable high performance half-duplex link |
US11337183B2 (en) * | 2019-02-28 | 2022-05-17 | Qualcomm Incorporated | Aggregated control information for a wireless communication network |
US11334511B2 (en) | 2019-10-17 | 2022-05-17 | Intel Corporation | System, apparatus and method for peer-to-peer communication on a multi-drop interconnect |
CN114338057B (zh) * | 2020-09-27 | 2023-09-08 | 腾讯科技(深圳)有限公司 | 基于第三方鉴权的登录方法、装置、设备和存储介质 |
CN113037477A (zh) * | 2021-03-08 | 2021-06-25 | 北京工业大学 | 一种基于Intel SGX的Kerberos安全增强方法 |
US11930009B2 (en) | 2021-10-17 | 2024-03-12 | Oversec, Uab | Optimized authentication mechanism |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101090314A (zh) * | 2006-06-15 | 2007-12-19 | 松下电器产业株式会社 | 整合票证授予服务于通话起始协议的鉴别方法及其装置 |
US20080292105A1 (en) * | 2007-05-22 | 2008-11-27 | Chieh-Yih Wan | Lightweight key distribution and management method for sensor networks |
US20090119504A1 (en) * | 2005-08-10 | 2009-05-07 | Riverbed Technology, Inc. | Intercepting and split-terminating authenticated communication connections |
US20100318791A1 (en) * | 2009-06-12 | 2010-12-16 | General Instrument Corporation | Certificate status information protocol (csip) proxy and responder |
CN102959559A (zh) * | 2010-06-28 | 2013-03-06 | 联邦印刷有限公司 | 用于产生证书的方法 |
WO2013123445A1 (en) * | 2012-02-17 | 2013-08-22 | Interdigital Patent Holdings, Inc. | Smart internet of things services |
US20140040977A1 (en) * | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
CN104067595A (zh) * | 2012-01-26 | 2014-09-24 | 迈克菲公司 | 用于在网络环境中的传输层安全会话票证的创新管理的系统和方法 |
US20150026779A1 (en) * | 2013-07-16 | 2015-01-22 | Qualcomm Connected Experiences, Inc. | Performing remote wi-fi network configuration when a network security protocol is unknown |
CN104412536A (zh) * | 2012-02-13 | 2015-03-11 | 爱克西德Id公司 | 凭证管理系统 |
CN104468113A (zh) * | 2013-09-16 | 2015-03-25 | 安讯士有限公司 | 用户凭证的分布 |
CN104685851A (zh) * | 2012-09-29 | 2015-06-03 | 微软公司 | 安全地加入安全无线通信网络 |
US20150188698A1 (en) * | 2013-12-30 | 2015-07-02 | Jvl Ventures, Llc | Systems, methods, and computer program products for providing application validation |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5590197A (en) * | 1995-04-04 | 1996-12-31 | V-One Corporation | Electronic payment system and method |
US7062654B2 (en) * | 2000-11-10 | 2006-06-13 | Sri International | Cross-domain access control |
US7370194B2 (en) * | 2002-06-10 | 2008-05-06 | Microsoft Corporation | Security gateway for online console-based gaming |
US8364951B2 (en) * | 2002-12-30 | 2013-01-29 | General Instrument Corporation | System for digital rights management using distributed provisioning and authentication |
US7568098B2 (en) * | 2003-12-02 | 2009-07-28 | Microsoft Corporation | Systems and methods for enhancing security of communication over a public network |
US20070079113A1 (en) | 2005-09-30 | 2007-04-05 | Amol Kulkarni | Automatic secure device introduction and configuration |
US10333711B2 (en) * | 2011-06-17 | 2019-06-25 | Microsoft Technology Licensing, Llc | Controlling access to protected objects |
US10149153B2 (en) | 2012-10-15 | 2018-12-04 | Koninklijke Philips N.V. | Wireless communication system |
US9621520B2 (en) * | 2015-03-19 | 2017-04-11 | Cisco Technology, Inc. | Network service packet header security |
-
2015
- 2015-12-23 US US14/757,750 patent/US9930121B2/en active Active
-
2016
- 2016-06-15 CN CN201680044447.6A patent/CN107925567B/zh active Active
- 2016-06-15 EP EP16833456.3A patent/EP3329637B1/en active Active
- 2016-06-15 WO PCT/US2016/037528 patent/WO2017023425A1/en active Application Filing
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090119504A1 (en) * | 2005-08-10 | 2009-05-07 | Riverbed Technology, Inc. | Intercepting and split-terminating authenticated communication connections |
CN101090314A (zh) * | 2006-06-15 | 2007-12-19 | 松下电器产业株式会社 | 整合票证授予服务于通话起始协议的鉴别方法及其装置 |
US20080292105A1 (en) * | 2007-05-22 | 2008-11-27 | Chieh-Yih Wan | Lightweight key distribution and management method for sensor networks |
US20100318791A1 (en) * | 2009-06-12 | 2010-12-16 | General Instrument Corporation | Certificate status information protocol (csip) proxy and responder |
CN102959559A (zh) * | 2010-06-28 | 2013-03-06 | 联邦印刷有限公司 | 用于产生证书的方法 |
US20140040977A1 (en) * | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
CN104067595A (zh) * | 2012-01-26 | 2014-09-24 | 迈克菲公司 | 用于在网络环境中的传输层安全会话票证的创新管理的系统和方法 |
CN104412536A (zh) * | 2012-02-13 | 2015-03-11 | 爱克西德Id公司 | 凭证管理系统 |
WO2013123445A1 (en) * | 2012-02-17 | 2013-08-22 | Interdigital Patent Holdings, Inc. | Smart internet of things services |
CN104685851A (zh) * | 2012-09-29 | 2015-06-03 | 微软公司 | 安全地加入安全无线通信网络 |
US20150026779A1 (en) * | 2013-07-16 | 2015-01-22 | Qualcomm Connected Experiences, Inc. | Performing remote wi-fi network configuration when a network security protocol is unknown |
CN104468113A (zh) * | 2013-09-16 | 2015-03-25 | 安讯士有限公司 | 用户凭证的分布 |
US20150188698A1 (en) * | 2013-12-30 | 2015-07-02 | Jvl Ventures, Llc | Systems, methods, and computer program products for providing application validation |
Non-Patent Citations (2)
Title |
---|
Y. SHEFFER等: "PIC, A Pre-IKE Credential Provisioning Protocol", 《DRAFT-IETF-IPSRA-PIC》 * |
陈家琪等: "无证书密钥协商协议对跨域Kerberos的改进", 《计算机工程》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113490969A (zh) * | 2019-05-15 | 2021-10-08 | K·库拉科夫斯基 | 用于登记预给定区域中的用户的方法和实现该方法的系统 |
Also Published As
Publication number | Publication date |
---|---|
US20170034284A1 (en) | 2017-02-02 |
EP3329637A1 (en) | 2018-06-06 |
US9930121B2 (en) | 2018-03-27 |
CN107925567B (zh) | 2021-10-22 |
EP3329637A4 (en) | 2019-04-17 |
EP3329637B1 (en) | 2021-11-03 |
WO2017023425A1 (en) | 2017-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107925567A (zh) | 用于使用由证书状态检查服务提供商发布的票证来优化对称密钥高速缓存的系统、装置和方法 | |
EP3602388B1 (en) | Blockchain node communication method and apparatus | |
US11386420B2 (en) | Contextual authentication of an electronic wallet | |
US9807610B2 (en) | Method and apparatus for seamless out-of-band authentication | |
KR102117584B1 (ko) | 로컬 디바이스 인증 | |
US10839391B2 (en) | Method and apparatus for secure offline payment | |
JP6262278B2 (ja) | アクセス制御クライアントの記憶及び演算に関する方法及び装置 | |
CN107925668B (zh) | 资源驱动的动态授权框架 | |
CN107547571B (zh) | 用于管理访问控制的方法和访问控制客户端供应服务器 | |
US20180091978A1 (en) | Universal Integrated Circuit Card Having A Virtual Subscriber Identity Module Functionality | |
CN109479049B (zh) | 用于密钥供应委托的系统、设备和方法 | |
CN103477666B (zh) | 连接移动设备,连接至互联网的车辆以及云服务 | |
TWI469654B (zh) | 無線網路上用於傳送電子識別部分之方法及裝置 | |
TWI592051B (zh) | 網路輔助之詐欺偵測裝置及方法 | |
KR101530809B1 (ko) | 멀티-테넌트 서비스 제공자에 의한 동적 플랫폼 재구성 | |
JP2017050875A (ja) | 複数のアクセス制御クライアントをサポートするモバイル装置、及び対応する方法 | |
US11403628B2 (en) | Authenticating and paying for services using blockchain | |
WO2016032610A1 (en) | Pairing computing devices according to a multi-level security protocol | |
JP2018503911A (ja) | セキュアなデータ管理技術 | |
US9443069B1 (en) | Verification platform having interface adapted for communication with verification agent | |
US20230033931A1 (en) | Method, ledger and system for establishing a secure connection from a chip to a network and corresponding network | |
Kou et al. | An efficient Authentication Scheme Using Token Distribution for Cloud-based Smart Home |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |